Uit een recent wereldwijd onderzoek van Coleman Parkes Research en Venafi onder 1000 CIO’s blijkt het aantal gebruikte machine-identiteiten jaarlijks met meer dan 40 procent te groeien. De ondervraagde bedrijven gebruikten eind 2021 gemiddeld al zo’n 250.000 van die zogeheten machine-identiteiten. Wat zijn machine-identiteiten en waarom is dat aantal nu al zo groot? Wat zijn de risico’s ervan en hoe is het snelgroeiend aantal machine-identiteiten het beste te beveiligen tegen cyberaanvallen?
Volgens Kevin Bocek, vice president security strategy & threat intelligence van Venafi zijn er twee typen identiteiten die organisaties moeten beveiligen om cyberincidenten te voorkomen, namelijk persoonsidentiteiten en machine-identiteiten. Onder machine-identiteiten vallen alle certificaten en encryptiesleutels die worden gebruikt voor de authenticatie en communicatie van software, webservices en producten die met het Internet zijn verbonden. Veel organisaties zijn zich onvoldoende bewust dat ze duizenden mobiele apps, bedrijfsapplicaties, webservices, computers, mobiele apparatuur, sensoren en andere ‘connected’ producten gebruiken. “CIO’s besteden nog steeds de meeste prioriteit en budget aan ‘identity & access management’ (IAM) oplossingen voor het beveiligen van persoonlijke identiteiten, terwijl het aantal, de groeisnelheid en de risico’s van machine-identiteiten aanzienlijk groter zijn”, aldus Bocek.
Risicovoorbeelden
Een voorbeeld van een misbruikte machine-identiteit is volgens Bocek de in 2010 ontdekte Stuxnet-worm, die de PLC-besturing van bepaalde industriële apparaten beïnvloedt. Deze vernuftige software benutte tot de ontdekking ervan een vertrouwd certificaat. Stel je als CIO eens voor dat zo’n stukje software door kwaadwillenden onopgemerkt wordt toegevoegd aan de besturing van producten, machines of het materieel van het eigen bedrijf. Dat kan al gebeuren door wat open source code of een API toe te voegen met een gekraakt certificaat aan zelf ontwikkelde software. Bocek merkt dat het aantal cyberaanvallen op de totale software supply chain toeneemt. “Uit onze analyses blijkt dat 28% van de 1 miljoen meest populaire websites certificaten van Let’s Encrypt gebruikt om TLS machine-identiteiten uit te geven”, zegt Bocek. “Het feit dat Let’s Encrypt begin dit jaar honderdduizenden certificaten moest intrekken voor een fout daarin, toont aan dat veel kritieke systemen en services een serieus risico lopen.”
Digitale transformatie stuwt groei
Uit het recente CIO-onderzoek blijkt ook dat alle respondenten beseffen dat hun plannen voor digitale transformaties de grootste aanjager zijn voor de snelle groei van machine-identiteiten. Bedrijfsapplicaties worden zoveel mogelijk naar de cloud gemigreerd, het aantal webservices groeit enorm en steeds meer machines, gereedschappen, materieel en medische apparatuur worden met het Internet of Things (IoT) verbonden. “Als de huidige groeisnelheid zich doorzet gebruiken de ondervraagde organisaties in 2024 gemiddeld zo’n 500.000 machine-identiteiten”, vervolgt Bocek. “Dat zijn allemaal potentiële cyberrisico’s, omdat hackers ze kunnen misbruiken om onopvallend binnen te komen en een tijdlang rond te neuzen en informatie te stelen. Veel bestaande security-oplossingen hebben namelijk geen of onvoldoende functionaliteit om alle gebruikte certificaten en encryptiesleutels inzichtelijk te maken, te managen en te beveiligen.”
Snelgroeiend IoT
Voor het snelgroeiend IoT en IIoT zijn grote hoeveelheden machine-identiteiten nodig. Steeds meer zakelijke apparaten, zoals camera’s, geldautomaten, productiemachines, robots, etc. worden met het internet verbonden. Maar ook de elektrische auto’s waarin medewerkers zowel privé als zakelijk (gaan) rijden. Al deze ‘verbonden’ producten, sensoren die data verzamelen, opslagsystemen, switches, routers en de servers waarmee ze communiceren vertrouwen op digitale certificaten en encryptiesleutels. Omdat hackers door het uitbreidende IoT veel meer ingangen krijgen om binnen te komen, richten de kwaadwillenden onder hen zich in toenemende mate op het stelen van certificaten en sleutels, of het misbruiken van configuratiefouten. Wie er in slaagt om een onderdeel van een software-update binnen een bedrijf te beïnvloeden, kan daarmee waarschijnlijk meerdere besturingen beïnvloeden.
IAM voor machine-identiteiten
Uit het genoemde onderzoek onder 1000 CIO’s blijkt dat veel respondenten van mening zijn dat hun organisatie momenteel kwetsbaar is voor cyberaanvallen gericht op de supply chain van software-ontwikkeling. “Elke organisatie is tegenwoordig een softwarebedrijf”, zegt Bocek. “Daarom is het belangrijk om IAM uit te breiden voor het in realtime inzichtelijk maken en beschermen van alle gebruikte machine-identiteiten.” 83 procent van de ondervraagde organisaties heeft in 2021 al een storing meegemaakt gerelateerd aan een digitaal certificaat, waarvan bij 26 procent kritische systemen zijn beïnvloed. 57 procent heeft te maken gehad met inbraken met behulp van misbruikte machine-identiteiten, waaronder TLS, SSH en code signing sleutels en certificaten. Op basis van deze percentages is het als CIO of securitymanager verstandig om de beveiliging van het snelgroeiend aantal machine-identiteiten bijzonder serieus te nemen.
Uit de kinderschoenen
“Het managen en beveiligen van machine-identiteiten staat nog maar in de kinderschoenen”, stelt Bocek. “Dat is vergelijkbaar met wat er jaren geleden gebeurd is met de identiteiten van personeelsleden en klanten, alleen zijn de aantallen aanzienlijk groter. Het aantal medewerkers, partners en klanten groeit bij de meeste organisaties niet met meer dan 40 procent per jaar”. Omdat machine-identiteiten minder zichtbaar zijn worden ze eerder over het hoofd gezien, terwijl de uitdagingen gerelateerd aan het beheren van persoonsidentiteiten verbleken bij die voor het beheren van alle machine-identiteiten. Ook Gartner onderkende vorig jaar al de risico’s van het snelgroeiend aantal niet menselijke identiteiten als een securitytrend. “Het onderzoek onder CIO‘s maakt duidelijk dat het voor elke organisatie belangrijk is het beheer van alle gebruikte machine-identiteiten te evalueren, ter bescherming van de digitale transformatie-initiatieven.”
Foto: Kevin Bocek, vice president security strategy & threat intelligence van Venafi
Meer over digitale weerbaarheid:
- Nederlandse organisaties hebben bijna zes dagen nodig om cyberaanval te detecteren
- Cyberdreiging voor Nederland is weer toegenomen blijkt uit Cybersecuritybeeld 2022
- Ontstaan ransomware-imperium. Wie zou je chanteren?
Volg Security Management op LinkedIn